Показано с 1 по 9 из 9.

Win32:Beagle-gen@mail - как лечить?! (заявка № 24246)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2008
    Сообщений
    5
    Вес репутации
    35

    Win32:Beagle-gen@mail - как лечить?!

    Доброго дня! Подцепили вирус в SQL-базу, непонятно каким образом. Методом тыка (последовательно проверкой avast4) каждой таблицы в виде отдельной базы выявилась зараженная таблица. Avast4 опознает троян как Win32:Beagle-gen@mail , но говорит, что вылечить не может, только удалить. А удалять таблицу нельзя, это огромный sql-архив.
    Поставили outpost, но похоже, уже поздно. Или был произведен SQL-injection...

    Произвели проверку единственно мемо-поля, куда можно было запостить какую-нибудь гадость типа скриптинка и т.п. (поиск по LIKE на разные служебные слова, теги - ничего не дал).
    Скажите, каким образом там может сидеть вирус, где, чем он опасен и, главное, как таблицу вылечить, оставив ее живой? Размер файла MDF порядка 200 мег. (он и заражен)

    Утилита AVZ этот вирус не видит, хотя была напущена с расширенным анализом на директорию Microsoft SQL Server и т.п.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Что-то мне сдаётся, что это очередное ложное срабатывание Аваста. Червяк, проживающий в SQL-базе - это слишком экзотично. А ведь кто-то ещё должен его оттуда доставать, иначе он так и будет лежать мёртвым трупом.

    А вообще - выполните правила, посмотрим.

  5. #4
    Junior Member Репутация
    Регистрация
    08.06.2008
    Сообщений
    5
    Вес репутации
    35
    Попробую...
    Но аваст я иногда запускала на полное сканирование, и он никогда не ругался раньше этим трояном, и тем более - на SQL-base 8(

  6. #5
    Junior Member Репутация
    Регистрация
    08.06.2008
    Сообщений
    5
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    Что-то мне сдаётся, что это очередное ложное срабатывание Аваста. Червяк, проживающий в SQL-базе - это слишком экзотично. А ведь кто-то ещё должен его оттуда доставать, иначе он так и будет лежать мёртвым трупом.
    Все оказалось не так просто. Я создала для зараженной таблицы отдельную базу и стала удалять из нее записи частями, надеясь отловить "вредоносный" сектор. Исходно было 182 147 записей,
    Размер MDF 198 170 688
    Размер LDF 11 468 800
    После каждого удаления я праверяла данные прогой аваст 4.8 (напоминаю, что AVZ этот вирус не видит)

    После удаления третьего пакета (когда количество в таблице уменшилось до 24 912)
    аваст неожиданно завил, что теперь заражен еще и log!!!! (файл ldf) Что навело меня на мысль, что дело не в записях... И что вирус отрабатывает после запуска SQL Server Manager или SQL Server Explorer (видимо)

    Но дальше самый прикол!!
    Размер mdf после всех удалений остался тот же! А лог раздулся до нечеловеческих размеров
    Размер MDF 198 170 688
    Размер LDF 361 693 184 !!!!......

    Вот вам и "слишком экзотично" (

    Тогда я удалила все оставшиеся записи в таблице. Вирус остался в обоих файлах, а размеры не потревожились.

    И напоследок хочу уточнить у уважаемых спецов о "Правилах". Там написано, что, что во время работы AVZ все должно быть закрыто, и должен быть открыт браузер (стало быть, и Интернет открыт?!). Но как же я отключу файерволл, если ко мне долбятся без конца, он вечно отбивает какие-то атаки! Пока AVZ работает, я опять нахватаю всякой дряни. Что это за странное условие?

    ЗЫ: заразные файлы могу выслать, но не знаю как - очень большие.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.
    Какая структура у таблицы? Если там нет BLOB-полей, то и зверя в таблице точно нет, а антивирус срабатывает на случайно совпавшую комбинацию данных. Лет двенадцать назад наблюдал, как Dr.Web обнаруживал вирусы в обычных текстовых файлах (в plain text, дело было во времена DOS, никакими макровирусами не пахло, Word был большой экзотикой).

    А, посмотрел повнимательнее. Memo-поле, говорите? Посмотрите, есть ли записи, где содержимое этого поля начинается на MZ. Бигль - не скрипт, двоичный файл, приложение Windows.
    Всё равно не понимаю, зачем его в базу запихивать. Он же сам оттуда не выпрыгнет, его кто-то вынуть должен.

  8. #7
    Junior Member Репутация
    Регистрация
    08.06.2008
    Сообщений
    5
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.
    Ок. Но как быть с размером? Я же ВСЕ записи удалила, а размер сотался 200 мег!

    Цитата Сообщение от pig Посмотреть сообщение
    А, посмотрел повнимательнее. Memo-поле, говорите? Посмотрите, есть ли записи, где содержимое этого поля начинается на MZ.
    Тык все убила же, говорю... таблица пустая! А сканируется все равно как зараженная. И MZ, понятно, там уже быть не может.... count=0... но размер = 200 мег!!! Ничего не понимаю.

    Цитата Сообщение от pig Посмотреть сообщение
    Бигль - не скрипт, двоичный файл, приложение Windows.
    Всё равно не понимаю, зачем его в базу запихивать. Он же сам оттуда не выпрыгнет, его кто-то вынуть должен.
    У меня впечатление, что я видела такую феню, как ее пишут. Я делала скрипт-ловушку, записывающую всякие подозрительные данные и спам, и нескольо раз через POST, возможно, что-то куда-то проникло, через дыру в asp-скрипте форума.
    Выглядело это так: declare... тыр-тыр-тып.. далее бинарная структура тела из циферок, разделенных вроде вертикальными палочками, потом ;exec тыр-тыр
    К сожалению, я это все с перепугу грохнула Но, мб, еще поймаются.


    ЗЫ: Кто-то постоянно атакует порт с 89.169.*.*... Пока писала сюда - 6 раз уже стукнулись.
    не уберу аутпост ради AVZ!!!!

    ЗЫ2: Я подробнее объясню ситуевину. Есть сервер удаленный MS SQL, на котором крутится база. Себе домой на локальный сервер я скачиваю периодически бэкап методом DataPump, потаблично. Пр этом скачиваются только данные, триггера и прочее - нет.
    Вирус обнаруживается на данных, вытянутых с сервера, на компе его нет, я все проверяла! Очевидно, источник - удаленный сервер ???. SQL? Но если я скажу админу об этом, он найдет бедный MDF заразный и просто, боюсь, грохнет его. А этого делать нельзя! Вот я и пытаюсь понять, как ЭТО вылечить, не убивая, у себя дома.
    Пока нашла какой-то вроде аналог, сейчас запустила утилиту DrWeba http://info.drweb.com/virus_description/18662

    Добавлено через 5 часов 33 минуты

    >>>В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.

    Сообщаю, что после Шринка лог не сдулся.

    Добавлено через 1 час 26 минут

    Зато... вот еще загадка...
    неожиданно сдулся (!) MDF (после проверки DrWebom, но Веб этот файл точно не лечил!!), и аваст неожиданно показал, что в Логе остался вирус, а в самой базе - исчез!

    Размер MDF стал всего 3 с чем-то мега (хотя должен быть меньше вроде) Напоминаю, что SQL-таблица абсолюто пуста!!!!
    Но при просмотре файла в блокноте в нем обнаружились целые куски из текстовых записей, разговоры из МЕМО-полей. ГДЕ ОНИ ЖИВУТ, если таблица пуста?!
    Последний раз редактировалось Azia; 10.06.2008 в 20:39. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Если немного поманипулируете таблицей (добавить-удалить запись), то и лог сдуется. То, что видно в Блокноте - это мусор в неиспользуемых фрагментах файла. Пока MDF не сдулся, он почти весь был неиспользуемый, и в нём болталось соержимое удалённых записей. Это штатное поведение MS SQL. Он таким путём себе жизнь облегчает - зачем немедленно сжимать базу, если (обычно) через какое-то время в неё будут добавлять записи, вот резерв и пригодится.

  10. #9
    Junior Member Репутация
    Регистрация
    08.06.2008
    Сообщений
    5
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    Если немного поманипулируете таблицей (добавить-удалить запись), то и лог сдуется. То, что видно в Блокноте - это мусор в неиспользуемых фрагментах файла. Пока MDF не сдулся, он почти весь был неиспользуемый, и в нём болталось соержимое удалённых записей. Это штатное поведение MS SQL. Он таким путём себе жизнь облегчает - зачем немедленно сжимать базу, если (обычно) через какое-то время в неё будут добавлять записи, вот резерв и пригодится.

    Приветствую! Почти так и произошло...
    Сегодня утром неожиданно обнаружилось, что и файл, и лог сдулись до 1,5 каждый - обычный "пустой" размер. Аваст сказал, что вируса там теперь нет нигде. Ясно дело!
    Но при попытке открыть таблицу через SQL или файл блокнотом... оно не открывается, блокнот говорит, что файл занят неким процессом (это неправда, все, что могло его держать - даже не загружалось). А у SQL - генеральная ошибка
    Уже крыша едет...

    Получается, что вопрос про вирус так и повис, неразгаданный.

  • Уважаемый(ая) Azia, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 15:00
    2. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    3. Win32.Beagle, и последствия
      От Sitpower в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:55
    4. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 00:49
    5. Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)
      От Alexey P. в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 09.11.2005, 06:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00134 seconds with 16 queries